资安厂商Aikido研究人员发现开源NPM程式库rand-user-agent被植入RAT木马,攻击者窃得发布权限,针对开发者常用的NPM套件进行供应链攻击。由于rand-user-agent套件每周下载量达4万5千次,推估已有部分用户系统遭入侵。
受影响的rand-user-agent版本包含1.0.110、2.0.83与2.0.84,均非由原开发团队透过GitHub推送,疑似有第三方在原作者未维护套件期间窃用发布权限,将恶意版本上架至NPM。
恶意程式码在该套件内部以混淆工程隐藏,使用极长的字串与加密逻辑绕过静态分析。攻击者植入的后门程式可与远端指令伺服器建立连线,并具备上传本机档案、切换工作目录以及执行任意系统指令等能力。初始恶意程式会检查系统中是否存在axios与socket.io-client套件,若无则自动于使用者主目录下的隐藏路径.node_modules,安装所需模组以方便后续运作,并避免被开发者注意。
◆5月9日华硕发布资安公告,他们为驱动程式管理工具DriverHub发布更新,修补资安漏洞CVE-2025-3462、CVE-2025-3463,呼吁用户尽速安装最新版软体,也可存取DriverHub并按下立即更新(Update Now)来进行。
这些漏洞为纽西兰程式开发员MrBruh发现,并指出攻击者有机会远端利用,并于受害电脑执行任意程式码,发生的原因在于外部发送的呼叫请求检查不周全,以及欠缺严谨的安全检查,未经授权的攻击者可发送恶意HTTP呼叫,从而影响受害电脑的系统行为,或是与软体功能进行互动,而对于CVE-2025-3462、CVE-2025-3463的危险程度评估,根据华硕以4.0版CVSS进行风险评分,分别得到9.4、8.4分(满分10分)。
值得留意的是,华硕特别强调上述漏洞只影响主机板,不影响笔电、桌上型电脑,以及其他端点装置。但究竟有那些主机板用户会受到影响,以及DriverHub是否预设安装于华硕电脑,该公司并未说明。
【资安产业动态】
Google积极推动无密码登入,将利用桌机Chrome及手机版的密码管理工具Password Manager,自动将用户密码升级通行密钥(passkey)。
上周Android Authority首先在25.19.31 beta版Google Play Services App发现,Android版Password Manager包含一个新功能,会自动将用户密码在用户登入时转成通行密钥,而且,这项功能预设开启。
随后Google宣布,Chrome加入Google密码管理器自动建立通行密钥的功能,并将这项功能称为Automatic Passkey Upgrade。启用该功能后,当用户以密码管理器储存的密码登入网站,此应用程式就会将密码升级为通行密钥,并传送通知给用户。这项功能将先透过桌机版Chrome 136释出,Android版则即将推出。